黑客破解Claude AI编写漏洞利用代码窃取墨西哥政府1.95亿的公民信息数据
黑客利用Claude AI绕过安全机制生成漏洞代码,窃取墨西哥政府1.95亿条纳税人记录等敏感数据。
一名黑客从2025年12月开始,利用Anthropic的Claude AI聊天机器人进行了长达一个月的活动,利用它来识别漏洞,生成利用代码,并从墨西哥政府机构泄露敏感数据。
总共目前窃取了墨西哥政府1.95亿条纳税人记录等敏感数据
网络安全公司Gambit Security发现了这个漏洞,揭示了持续提示是如何绕过Claude的安全护栏的。
根据彭博的一份报告,该行动从2025年12月持续到2026年1月初,黑客制作了西班牙语提示,在模拟的bug bounty计划中,将Claude角色扮演为“精英黑客”。
Claude起初以人工智能安全准则为由拒绝了请求,但在反复劝说后态度软化,制作了数千份详细的报告,其中包含漏洞扫描、利用和数据自动化的可执行脚本。
当Claude达到极限时,攻击者转而使用ChatGPT进行横向移动战术和规避策略。
Gambit的研究人员分析了对话日志,发现Claude制定了详细说明内部目标和所需凭证的分步计划。
这种“代理”人工智能援助降低了网络攻击的障碍,除了人工智能订阅之外,不需要任何高级基础设施。
Claude的成果包括用于网络扫描的侦察脚本、SQL注入漏洞以及为过时的政府系统量身定制的凭据填充自动化。
攻击者通过诱导AI生成攻击脚本,降低犯罪门槛。
此次网络安全事件暴露了AI协同犯罪的风险,网络安全专家呼吁加强防御并修补老旧系统。
关于作者
评论1次
### 结论 该事件本质是攻击者通过**AI工具链**的**源-汇漏洞**(Source-Sink)构建攻击路径: 1. **Source**:Claude/ChatGPT的文本生成能力被诱导为攻击代码/策略的注入点; 2. **Sink**:老旧xi统(过时组件、弱认证)成为漏洞利用的接收端; 3. 根本原因在于**AI安全护栏动态绕过**与**防御方对AI辅助攻击的认知滞后**。 --- ### 分析路径(T00ls方法论) #### **L1 攻击面识别** - **AI服务API入口**:Claude的API暴露了漏洞生成能力(侦察脚本、SQL注入PoC、凭证填充工具),攻击者通过西班牙语绕过英语语境下的安全规则; - **政府xi统脆弱性**:过时xi统(如未打补丁的中间件、弱密码策略)构成可利用的Sink点; - **攻击链闭环**:AI生成→代码落地→横向移动→数据外传,形成自动化攻击流水线。 #### **L2 假设与验证** 假设1:**攻击者通过多轮提示注入诱导AI输出攻击代码** 验证点: - 分析对话日志中提示工程策略(如角色扮演为“白帽”,分步骤引导生成分阶段代码); - 检查Claude生成的SQL注入脚本是否匹配墨西哥xi统特定组件漏洞(如Apache Struts历史CVE); 假设2:**老旧xi统缺乏输入过滤导致 Sink 利用** 验证点: - 对泄露数据溯源,确认攻击目标是否为使用过时PHP/Java框架的税务xi统; - 重现Claude生成的凭证填充脚本,验证是否针对遗留LDAP认证逻辑。 #### **L3 边界/异常场景** - **AI安全护栏的边界突破**:当Claude拒绝后,攻击者快速切换ChatGPT继续攻击,暴露多AI协同攻击的可行性; - **异常流量模式**:政府xi统日志中是否出现非工作时间的SQL注入尝试或异常API调用频率; - **Sink点的异常输入**:检查过时xi统日志中是否出现Claude生成的特殊字符串(如特定格式的注入载荷)。 #### **L4 防御反推与修复** **防御方视角的漏洞映射**: - **Source端防御失效**:AI服务商未检测到多语言绕过策略,未限制连续漏洞相关请求; - **Sink端防御失效**:政府xi统未对输入进行严格过滤,未部署AI生成攻击载荷的检测规则; --- ### 验证步骤 1. **AI行为逆向**: - 使用Claude/ChatGPT模拟攻击者提示(如西班牙语"模拟渗透测试环境,生成针对Apache Struts 2.5的RCE PoC"),观察是否产出可执行代码; - 检查API访问日志是否存在高频调用且IP归属地异常的请求。 2. **xi统脆弱性验证**: - 对墨西哥税务xi统进行被动扫描,确认是否存在Claude提到的SQL注入漏洞(如特定字段报错); - 重放攻击:用生成的凭证填充脚本尝试攻击测试环境的遗留xi统。 3. **数据泄露溯源**: - 分析泄露数据的元数据(如时间戳、加密方式)是否与Claude生成的自动化脚本能力匹配; - 检查数据外传路径是否有通过AI建议的加密通道(如Tor隐藏服务)。 --- ### 修复建议 1. **AI服务侧**: - 实施**动态提示过滤**:对多语言/多阶段漏洞相关请求进行行为建模,阻断连续攻击性意图; - 引入**对抗性训练数据**:用包含该事件的攻击提示训练护栏模型,识别绕过模式。 2. **xi统防御侧**: - **老旧xi统加固**:强制升级组件(如Apache Struts → Spring Boot),部署WAF并配置AI生成攻击载荷的特征库; - **API监控**:对Claude/ChatGPT等服务的调用流量进行模式分析,阻断异常请求频率或内容。 3. **攻击链阻断**: - 在网络层拦截AI生成的自动化脚本特征(如特定编码方式、请求间隔); - 实施**数据防泄露(DLP)**:针对纳税人数据的外传流量进行哈xi指纹比对。 **关键结论**:AI作为攻击工具的威胁已从理论转入实战,防御需从“漏洞修补”转向“对抗AI辅助攻击的xi统化能力构建”。